本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 从证据查找器导出搜索结果
查看搜索结果后,您可以根据这些结果生成评测报告。或者,您也可以将证据查找器搜索结果导出为 CSV 文件。
## 先决条件
以下程序假设您已经按照相应步骤在证据查找器中[执行搜索](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html)并[查看搜索结果](https://docs.aws.amazon.com/audit-manager/latest/userguide/viewing-search-results-in-evidence-finder.html)。
## 过程
**Contents**
+ [根据搜索结果生成评测报告](#generate-one-time-report-from-search-results)
+ [将搜索结果导出为 CSV 文件](#export-search-results)
+ [导出结果后查看](#viewing-results-after-export)
### 根据搜索结果生成评测报告
对搜索结果感到满意后,可生成评测报告。
**若要根据您的搜索结果生成评测报告**
1. 在**查看结果** 表顶部,选择**生成评测报告**。
1. 输入评测报告的名称与描述,然后查看评测报告的详细信息。
1. 选择**生成评测报告**。
评测报告的生成需要几分钟时间。发生这种情况时,您可以离开证据查找器,绿色成功通知将确认报告准备就绪的时间。然后,您可以前往 Audit Manager 下载中心[下载您的评测报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
**注意**
Audit Manager 仅通过搜索结果中的证据生成一次性报告。该报告不包括[从评测页面手动添加至报告](https://docs.aws.amazon.com/audit-manager/latest/userguide/generate-assessment-report-include-evidence.html)的任何证据。
评测报告中包含的证据数量有一定限制。有关更多信息,请参阅 [证据查找器问题排查](evidence-finder-issues.md)。
### 将搜索结果导出为 CSV 文件
对于证据查找器搜索结果,您可能需要可移植版本。在这种情况下,您可以将搜索结果导出为 CSV 格式文件。
导出搜索结果后,CSV 文件可在 Audit Manager 下载中心保留七天,以供下载。CSV 文件的副本还会传送至您的首选 S3 存储桶,即所谓的*导出目标*。您的 CSV 文件在此存储桶中仍可用,直至您删除该文件。
Audit Manager 使用 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 功能从证据查找器中导出和交付 CSV 文件。以下因素定义了 CSV 导出过程的运行原理:
+ 您的所有搜索结果都包含在 CSV 格式文件中。如果您只想纳入特定搜索结果,我们建议您[编辑搜索筛选条件](https://docs.aws.amazon.com/audit-manager/latest/userguide/search-for-evidence-in-evidence-finder.html#editing-a-search)。这样,您可以缩小结果范围,即仅针对要导出的证据。
+ CSV 文件以压缩 GZIP 格式导出。默认 CSV 文件名为 `queryID/result.csv.gz`,其中 `queryID` 是您的搜索查询的 ID。
+ 导出的最大 CSV 格式文件为 1 TB。如果您要导出超过 1 TB 的数据,则该结果将拆分为多个文件。每个 CSV 文件都以`result_number.csv.gz`命名。您获得的 CSV 文件数量,取决于搜索结果的总大小。例如,导出 2 TB 的数据会为您提供两个查询结果文件:即 `result_1.csv.gz` 和 `result_2.csv.gz`。
+ 除了 CSV 文件外,您的 S3 存储桶还会收到 JSON 签名文件。该文件充当校验和,用于验证 CSV 文件中的信息是否准确。要了解更多信息,请参阅《*AWS CloudTrail 开发人员指南》*中的[CloudTrail 签名文件结构](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-results-file-validation-sign-file-structure.html)。要确定查询结果在传送后是被修改、删除还是未更改,您可以使用 CloudTrail 查询结果完整性验证。若要了解更多信息,请参阅*AWS CloudTrail 开发人员指南*中的[验证已保存的查询结果](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-query-results-validation-intro.html)。
**注意**
目前,证据查找器预览或 CSV 导出中不包含手动证据文字回复。要查看文本响应数据,请在证据查找器结果中选择手动证据名称以打开证据详细信息页面。如果您需要在 Audit Manager 控制台之外查看文字回复数据,我们建议您根据证据查找器的结果生成评测报告。所有手动证据细节(包括文字答复)都包含在评测报告中。
#### 首次导出结果
按以下步骤首次导出搜索结果。您可通过此程序选项,指定所有未来导出的默认导出目标。如果您现在不想保存默认导出目标,可以稍后通过[更新导出目标设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)进行保存。
**重要**
在开始之前,请确保您有 S3 存储桶可用作导出目标。您可以使用现有的 S3 存储桶之一,也可以[在 Amazon S3 中创建新存储桶](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)。为了获得最佳安全性和性能,我们建议在与评估相同的 AWS 账户和区域中使用 S3 存储桶。此外,您的 S3 存储桶必须具有允许 CloudTrail 向其写入导出文件所需的权限策略。更具体地说,存储桶策略必须包括`s3:PutObject`操作和存储桶 ARN,并列 CloudTrail 为服务委托人。我们提供了一个[权限策略示例](https://docs.aws.amazon.com/audit-manager/latest/userguide/security_iam_resource-based-policy-examples.html)以供您使用。有关如何将此策略附加至 S3 存储桶的说明,请参阅[使用 Amazon S3 控制台添加存储桶策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)。
有关更多提示,请参阅[导出目标的配置提示](settings-export-destination.md#settings-export-destination-tips)。如果在导出 CSV 文件时遇到任何问题,请参阅 [](evidence-finder-issues.md#csv-exports)。
**导出搜索结果(首次运行体验)**
1. 在**查看结果**表顶部,选择**导出 CSV**。
1. 指定要将文件导出的目标 S3 存储桶。
+ 选择 **浏览 S3**,从您的存储桶列表中选择。
+ 或者,您可以输入以下格式的存储桶 URI:**s3://bucketname/prefix**
**提示**
要使目标存储桶井井有条,您可以为 CSV 导出创建一个可选文件夹。为此,请在**资源 URI** 框中的值前后附加一个斜杠 (**/**) 和一个前缀(例如 **/evidenceFinderExports**)。然后,Audit Manager 在将 CSV 文件添加至存储桶时会包含此前缀,而且 Amazon S3 会生成由该前缀指定的路径。有关 Amazon S3 中前缀的更多信息,请参阅* Amazon Simple Storage Service *用户指南中的[ Amazon S3 控制台中的组织对象](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)。
1. (可选)如果您不想将此存储桶保存为默认导出目标,请清除复选框 **将此存储桶保存为证据查找器设置中的默认导出目标**。
1. 选择**导出**。
#### 保存导出目标后导出您的结果
将默认 S3 存储桶保存为默认导出目标后,您可继续执行以下步骤。
**若要导出搜索结果(在保存默认导出目标之后)**
1. 在**查看结果**表顶部,选择**导出 CSV**。
1. 在出现的提示中,查看保存导出文件的默认 S3 存储桶。
1. (可选)要继续使用此存储桶并继续隐藏此消息,请选中 **不再提醒** 复选框。
1. (可选)若要更改此存储桶,请按步骤[更新您的导出目标设置](https://docs.aws.amazon.com/audit-manager/latest/userguide/settings-export-destination.html)。
1. 选择**确认**。
根据您要导出的数据量,导出过程可能需要几分钟完成。在导出过程中,您可随意离开证据查找器。当您离开证据查找器后,搜索将停止,搜索结果将被丢弃在控制台。但是,CSV 导出进程将在后台继续进行。CSV 文件将包含与您的查询匹配的完整搜索结果集。
#### 导出结果后查看
要查找 CSV 文件并查看其状态,请前往 Audit Manager [Audit Manager 下载中心](download-center.md)。导出文件准备就绪后,您可以从下载中心[下载 CSV 文件](https://docs.aws.amazon.com/audit-manager/latest/userguide/download-center.html#download-a-file)。
您也可从导出目标 S3 存储桶中查找和下载 CSV 文件。
**若要在 Amazon S3 控制台中查找您的 CSV 文件和签名文件**
1. 打开 [Amazon S3 控制台](https://console.aws.amazon.com/s3/)。
1. 选择您在导出 CSV 文件时所指定的导出目标存储桶。
1. 在对象层次结构中导航,直至找到 CSV 文件和签名文件。CSV `.csv.gz`文件具有扩展名,符号`.json`文件具有扩展名。
您将看到一个与下面示例类似的对象层次结构,但具体存储桶名称、账户 ID、日期和查询 ID 有所不同。
```
All Buckets
Export_Destination_Bucket_Name
AWSLogs
Account_ID;
CloudTrail-Lake
Query
YYYY
MM
DD
Query_ID
```
## 其他资源
+ [证据查找器问题排查](evidence-finder-issues.md)
+ [为证据查找器配置默认导出目标](settings-export-destination.md)